Urząd certyfikacji

Urząd certyfikacji, centrum certyfikacji, CA (ang. certificate authority) – podmiot, który wystawia certyfikaty cyfrowe. Certyfikat potwierdza własność klucza publicznego poprzez wskazanie podmiotu certyfikatu. Pozwala to innym powołującym się stronom polegać na podpisach lub zapewnieniach złożonych przez klucz prywatny odpowiadającemu kluczowi publicznemu, który jest certyfikowany. W tym modelu relacji zaufania CA jest zaufaną stroną trzecią, której zawierzają zarówno podmiot (właściciel) certyfikatu oraz strona polegająca. Urzędy certyfikacji są charakterystyczne dla wielu systemów infrastruktury klucza publicznego (PKI).

Komercyjne urzędy certyfikacji pobierają opłatę za wydanie certyfikatów, które będą automatycznie zaufane przez większość przeglądarek internetowych (Mozilla przechowuje listę co najmniej 36 zaufanych głównych urzędów certyfikacji, choć wiele komercyjnych urzędów lub ich sprzedawców może dzielić ten sam zaufany root).

Pomijając komercyjne CA, niektórzy dostawcy wydają cyfrowe certyfikaty do obrotu publicznego bez żadnych kosztów. Duże instytucje lub podmioty rządowe mogą mieć swoje własne centrum certyfikacji.

Weryfikacja domen edytuj

Komercyjne urzędy certyfikacji, które wydają większość świadectw potwierdzanych przez klientów poprzez serwery e-mail i publiczne serwery HTTPS, zazwyczaj używają techniki zwanej weryfikacją domeny (ang. domain validation) do uwierzytelniania odbiorcy certyfikatu. Sprawdzanie poprawności domeny polega na wysłaniu e-maila zawierającego token uwierzytelniający lub link do adresu e-mail, który jest uznany za administracyjnie odpowiedzialny za domenę. To może być techniczny, kontaktowy adres e-mail wymieniony we wpisie WHOIS domeny lub administracyjny e-mail taki jak postmaster@ lub root@ domena. Teoria sprawdzania domen jest taka, że tylko potwierdzony właściciel domeny będzie w stanie czytać e-maile wysyłane do tych administracyjnych adresów.

Walidacja domen jest podatna na ataki, ponieważ posiada pewne strukturalne ograniczenia bezpieczeństwa, pozwalające włamywaczowi obserwować wiadomości dotyczące sprawdzania autentyczności domeny wysyłane przez urząd certyfikacji. Mogą to być ataki np. przeciwko protokołom DNS, TCP lub BGP – niemającym zabezpieczeń kryptograficznych TLS/SSL. Takie włamania są możliwe zarówno w sieci w pobliżu urzędu, jak i blisko samej domeny ofiary.

Niektóre ośrodki certyfikacji oferują rozszerzoną walidację zaświadczeń (ang. Extended Validation, w skrócie EV) jako bardziej rygorystyczna alternatywa dla certyfikatów potwierdzających domeny. Jednym z ograniczeń EV jako rozwiązania słabości metody sprawdzania domen jest to, że napastnik może nadal uzyskać certyfikat weryfikacyjny do upatrzonej domeny i wykorzystać go podczas ataku; jeśli to nastąpiło, jedyną różnicą zauważalną dla użytkownika–ofiary będzie niebieski pasek adresu HTTPS zamiast zielonego. Niewielu użytkowników mogłoby uznać tę różnicę za oznakę trwającego ataku.

Wdrożenie metody walidacji domen także jest czasami źródłem luk w zabezpieczeniach. W jednym przypadku specjaliści od zabezpieczeń wykazali, że napastnik może uzyskać certyfikaty dla stron typu webmail, bo centrum certyfikacji było gotowe użyć adresu e-mail takiego jak SSLCertificates@example.com dla example.com, lecz nie wszystkie systemy pocztowe wykorzystujące przeglądarkę internetową zarezerwowały nazwę użytkownika „SSLCertificates” w celu ochrony przed zarejestrowaniem jej przez atakującego.

Wydanie certyfikatu edytuj

Urząd certyfikacji wystawia certyfikaty cyfrowe, które zawierają klucz publiczny i tożsamość właściciela. Pasujący klucz prywatny nie jest udostępniany publicznie, a utrzymywany w tajemnicy przez użytkownika końcowego, który wygenerował parę kluczy. Wydane zaświadczenie jest również potwierdzeniem przez ośrodek certyfikujący, że klucz publiczny należy do osoby, organizacji, serwera lub innego podmiotu odnotowanego w certyfikacie. Obowiązkiem CA jest weryfikacja uprawnień wnioskodawcy, dzięki czemu użytkownicy i strony powołujące się na dany certyfikat mogą zaufać informacjom zawartym w wystawionym przez urząd świadectwie. Urzędy stosują do tego różne standardy i metody sprawdzające. W istocie urząd jest odpowiedzialny za powiedzenie: „Tak, ta osoba jest tym, za kogo się podaje, a my – ośrodek certyfikacji – potwierdzamy to”.

Jeżeli użytkownik ufa urzędowi certyfikacji i ma możliwość zweryfikowania podpisu wystawionego przez CA, to może też sprawdzić, czy dany klucz publiczny faktycznie należy do tego podmiotu, który jest zidentyfikowany w certyfikacie.

Jeśli działalność urzędu certyfikacji zostanie podważona, to bezpieczeństwo całego systemu zostanie utracone w stosunku do każdego użytkownika, dla którego CA potwierdzało związek pomiędzy kluczem publicznym a tożsamością.

Przykład edytuj

Urząd certyfikacji jest organizacją, która przechowuje klucze publiczne i ich właścicieli. Kiedy przeglądarka internetowa użytkownika otrzymuje klucz publiczny ze strony www.przykładowybank.pl może skontaktować się z centrum certyfikującym, aby zapytać, czy klucz publiczny naprawdę należy do www.przykładowybank.pl. Gdy www.przykładowybank.pl używa klucza publicznego potwierdzonego przez ośrodek certyfikacji, fałszywy www.przykładowybank.pl może korzystać z tego samego klucza publicznego. Jeżeli fałszywy www.przykładowybank.pl nie zna odpowiedniego klucza prywatnego, to nie może odszyfrować odpowiedzi użytkownika.

Urzędy certyfikacji w Polsce edytuj

Na potrzeby kwalifikowanego podpisu elektronicznego działa w Polsce szereg kwalifikowanych urzędów certyfikacji. Instytucją certyfikującą pozostałych wystawców certyfikatów jest Narodowe Centrum Certyfikacji podlegające NBP[1][2]. Podlegające mu „urzędy certyfikacji” wg stanu na 2013 r. (wszystkie są podmiotami prywatnymi) to:

Przypisy edytuj

  1. a b c d e f g Podpis elektroniczny. Ministerstwo Gospodarki. [dostęp 2013-10-05]. [zarchiwizowane z tego adresu (2013-10-07)].
  2. a b c d e f g h i Rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne. Narodowe Centrum Certyfikacji. [dostęp 2013-10-05]. [zarchiwizowane z tego adresu (2013-10-07)].
  3. Decyzją Ministra Gospodarki (znak DHU-I-4332-93/13 z dnia 12 listopada 2013) wykreślono firmę Mobicert Sp. z o.o z rejestru kwalifikowanych podmiotów świadczących uługi certyfikacyjne.